前些日子，跟一個客戶彙報安(ān)全方案。會議快結束時候，随口問了一句：您為(wèi)什麽要選擇購(gòu)買下一代防火牆？在提這個問題時候，我設想了幾種客戶可(kě)能(néng)會給的答(dá)案，類似性價比高，安(ān)全性高，性能(néng)強……但是客戶最終的回答(dá)卻出乎我意料：既然要買防火牆，為(wèi)什麽不選擇“下一代”防火牆呢(ne)？客戶這個反問式的回答(dá)出乎我意料，做一個簡單類比就是如果你現在選擇夠買蘋果手機，新(xīn)版iPhone 7來了，你還會去選擇買一個6S嗎？這個邏輯看似簡簡單明了，但問題是如何購(gòu)買一款真正下一代防火牆？

       尤其是這幾年，國(guó)内很(hěn)多(duō)廠商(shāng)紛紛推出了自己的下一代防火牆，其中(zhōng)不乏“巧借名(míng)目”和“搶占高地”者。研究這些産(chǎn)品資料也不難看出，此類産(chǎn)品與傳統防火牆相比隻是換湯不換藥，在其技(jì )術特性中(zhōng)根本讀不到任何NGFW的基因，隻是将幾年前推出的傳統防火牆冠以“NG”開頭的名(míng)稱而已。這個時候就需要我們客戶有(yǒu)一雙慧眼，能(néng)夠識别出真正的下一代防火牆，能(néng)夠認清傳統防火牆，UTM，下一代防火牆之間差别。

       下一代防火牆 ≠ （傳統防火牆+ 應用(yòng)可(kě)視）

       “下一代”這似乎是個飽含炒作(zuò)意味的詞彙，但是它代表了多(duō)功能(néng)、高性能(néng)，也是對于傳統設備軟件和硬件技(jì )術的革新(xīn)。顧名(míng)思義有(yǒu)“下一代”必然有(yǒu)上一代，也就是傳統防火牆。

       根據Gartner的定義，最初下一代防火牆隻是強調應用(yòng)識别、深度集成IPS等基礎能(néng)力，而之後一段時期則開始關注管理(lǐ)分(fēn)析能(néng)力、性能(néng)、抗攻擊逃逸能(néng)力的提升，最近及未來一段時間内，随着以威脅情報、大數據等為(wèi)代表的前沿安(ān)全技(jì )術的成熟，則開始強調與這些外部智能(néng)系統、其他(tā)安(ān)全産(chǎn)品的聯動協同。因此，相較于傳統防火牆，NGFW會以全局視角解決用(yòng)戶網絡面臨的實際問題，不是簡單的功能(néng)堆砌和性能(néng)疊加，而是真正的集成，貼切網絡環境與用(yòng)戶需求。

       從Gartner對NGFW定義這張圖看，“下一代防火牆”安(ān)全能(néng)力内涵和外延，早已遠(yuǎn)遠(yuǎn)超過二十多(duō)年前定義“防火牆”品類時所界定的範疇，下一代防火牆應該是邊界防禦領域一個新(xīn)的産(chǎn)品品類，隻是截至目前，尚未想到更好的概念名(míng)詞去描述它。因此下一代防火牆絕對不是某些廠商(shāng)宣傳一樣，約等于傳統防火牆加上應用(yòng)可(kě)視化這麽簡單。

       更何況，近年來一些廠商(shāng)将越來越炫酷的UI界面或各類TOP 10排名(míng)灌之以深度可(kě)視化的名(míng)頭，這是典型的将visualization理(lǐ)解成了visibility。可(kě)視化不是簡單的将數據圖形化呈現，不是日志(zhì)信息的簡單分(fēn)類和歸集，而是深度挖掘這些原始數據素材之後的内在關聯，以全局視角幫助網絡管理(lǐ)者看清各種威脅，看清攻擊事件的全貌，幫助了解攻擊者的真正意圖和目标。

       下一代防火牆 ≠UTM

       另外，說到下一代防火牆和UTM的差别，必須要澄清一個概念，“下一代防火牆” 并不是前些年市場上流行的“統一威脅管理(lǐ)（UTM）”。

       UTM誕生的時間更早，推向市場的背景是為(wèi)了降低中(zhōng)小(xiǎo)企業用(yòng)戶以及低預算用(yòng)戶的總體(tǐ)擁有(yǒu)成本，所以UTM在防火牆平台的基礎上集成了盡可(kě)能(néng)多(duō)的安(ān)全功能(néng)，可(kě)能(néng)包括上網行為(wèi)管理(lǐ)、入侵防禦、Web攻擊防護、病毒防護、垃圾郵件過濾、URL過濾等功能(néng)。在未來，UTM仍然會不斷的集成更多(duō)新(xīn)的安(ān)全功能(néng)，而這樣的産(chǎn)品設計很(hěn)難避免多(duō)功能(néng)堆砌的架構，這決定了UTM性能(néng)可(kě)預測性差、功能(néng)融合度低等技(jì )術特點。

       相比而言，下一代防火牆的定義中(zhōng)明确指出，它并不是僅面向中(zhōng)小(xiǎo)企業的“多(duō)功能(néng)防火牆”，NGFW必須要适應大企業環境的要求。盡管NGFW也集成了IPS、AV等安(ān)全功能(néng)，但并不是以提升産(chǎn)品性價比為(wèi)主要目的。這種集成不是功能(néng)模塊和引擎的堆砌，而是一種深度的集成，将各種安(ān)全功能(néng)融入一個獨立的架構中(zhōng)，而不是簡單的将多(duō)個安(ān)全設備堆疊到一起，塞進叫防火牆的外殼裏。這一切的主要目的，則是為(wèi)了提升安(ān)全檢測效率和安(ān)全防護水平。

       所以，NGFW不是像UTM那樣簡單的擴展功能(néng)模塊，此外各安(ān)全模塊也不像UTM那樣各自為(wèi)戰，而是各安(ān)全模塊間可(kě)開展有(yǒu)機聯動，各模塊産(chǎn)生的信息可(kě)實現全維度關聯，使NGFW具(jù)備強大的模塊間安(ān)全協同能(néng)力和威脅情報聚合能(néng)力。舉個簡單類比，UTM功能(néng)集合更像是簡單的1+1=2甚至是1+1<2，而NGFW則是1+1>2。

       大家可(kě)能(néng)都聽說過一個和尚挑水喝(hē)，兩個和尚擡水喝(hē)的故事，這個故事除了告訴我們分(fēn)配制度重要性以外，還有(yǒu)一個寓意就是1+1可(kě)能(néng)小(xiǎo)于2，從左圖中(zhōng)我們也可(kě)以看出一個和尚的挑水量是兩個和尚挑水量的兩倍。而UTM正如右圖顯示那樣，它雖然堆砌式地集成了很(hěn)多(duō)功能(néng)，但是集成各個功能(néng)都不完善，都有(yǒu)其不可(kě)逃避的缺陷。設想幾個并不太完整的功能(néng)簡單疊加在一起，不正猶如一個瞎子背着瘸子過河一般嗎？這顯然是不可(kě)能(néng)快速過河，甚至兩個人都會掉進河裏。這張圖就是對UTM性能(néng)可(kě)預測性差、功能(néng)融合度低的最好體(tǐ)現。

       下一代防火牆選型知多(duō)少？

       如 今的市場上有(yǒu)不少廠商(shāng)都宣稱自己是下一代防火牆，如何選擇一款真正下一代防火牆還是一個複雜工(gōng)作(zuò)。筆(bǐ)者建議從下面幾個下一代防火牆标簽進行考慮：下一代防 火牆的幾個比較顯著的标簽是：基于應用(yòng)層構建安(ān)全、主動防禦、多(duō)威脅檢測機制智能(néng)融合，與這些标簽相對應的參數或考量标準主要體(tǐ)現在以下幾點：應用(yòng)識别的 廣度和深度以及與本土用(yòng)戶使用(yòng)習慣的契合度;可(kě)視化及智能(néng)分(fēn)析的能(néng)力和操作(zuò)體(tǐ)驗;功能(néng)全開啓後的性能(néng)以及性能(néng)衰減趨勢。具(jù)體(tǐ)來說，企業在選型時候需要重點關注下一代防火牆幾個方面的表現：

       首先是應用(yòng)識别的能(néng)力：既要廣度更要深度

       識别的廣度和深度是應用(yòng)識别最重要的指标，也是下一代防火牆區(qū)别于傳統防火牆的重要特征。在應用(yòng)識别廣度方面，業界領先的NGFW産(chǎn)品應用(yòng)識别數量基本在3000以上。類似網康等專注于應用(yòng)領域技(jì )術的廠商(shāng)，目前應用(yòng)識别數量應該都在4000以上。除了識别數量足夠廣之外，識别深度也更為(wèi)重要。例如，企業可(kě)能(néng)會僅允許QQ聊天，但禁止QQ遊戲；對跑在HTTP上的應用(yòng)，能(néng)夠精(jīng)準識别出該應用(yòng)的具(jù)體(tǐ)用(yòng)途；同時，能(néng)夠從逃逸，帶寬等多(duō)個維度去判斷應用(yòng)屬性是否安(ān)全，比如限制P2P等流量耗費型且安(ān)全性不高的應用(yòng)帶寬。同時，應用(yòng)識别的結果還将提高後期智能(néng)聯動的防護效率，例如：SQL Server流量僅和SQL Server相關特定漏洞進行IPS防護，從而提升性能(néng)，降低誤報率。

       其次是功能(néng)與性能(néng)兼備：功能(néng)完備性不能(néng)以顯著的性能(néng)衰減為(wèi)代價

       下一代防火牆至少應融合IPS的防護，同時各廠家根據各自的理(lǐ)解還集成了其他(tā)更多(duō)的功能(néng)，但是有(yǒu)的廠商(shāng)集成過多(duō)功能(néng)，甚至是集成Web應用(yòng)防火牆這樣産(chǎn)品功能(néng)，嚴重導緻NGFW性能(néng)下降，甚至出現死機現象。因此客戶在選擇産(chǎn)品時千萬不能(néng)僅看到功能(néng)的全面性，卻忽視了開啓這些功能(néng)後的性能(néng)衰減。不然後期隻能(néng)被迫禁用(yòng)一些應用(yòng)層防護的功能(néng)模塊，導緻下一代防火牆變成了傳統防火牆或者UTM。業内權威機構認為(wèi)，優秀的下一代防火牆産(chǎn)品開啓IPS功能(néng)後整機性能(néng)下降不應超過50%。

       最後是可(kě)視化（visibility）和智能(néng)分(fēn)析能(néng)力

       随着網絡快速發展，各式各樣複雜威脅層出不窮，用(yòng)戶需要更加及時的掌握網絡現狀、風險、威脅、事件以及防禦效果等用(yòng)于支撐安(ān)全決策。這就需要下一代防火牆具(jù)備良好的可(kě)視化和智能(néng)分(fēn)析能(néng)力，幫助用(yòng)戶看得清威脅，防得住攻擊。因此，真正的“可(kě)視化智能(néng)管理(lǐ)”應 該是在多(duō)維統計的基礎上加以深入的分(fēn)析，從應用(yòng)和用(yòng)戶視角多(duō)層面的将網絡應用(yòng)的狀态展現出來。同時，通過引入外部威脅情報，實現安(ān)全态勢感知和風險預測功 能(néng)，解決單機設備與生俱來的短闆，以幫助用(yòng)戶更加快速的了解網絡風險并及時部署防禦措施。總而言之，看得清，看得全，看得透，才能(néng)讓安(ān)全看得見！